Ricoh SsUCommon.dll wird als Virus/Trojaner geflaggt (27.5.2026)

Veröffentlicht am 27. Mai 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Kurze Informationen für die Leserschaft, die Ricoh-Geräte in ihrem Bestand haben. Ein Blog-Leser informierte mich gerade, dass in seinem Unternehmensumfeld die Bibliotheksdatei SsUCommon.dll als schädlich bzw. Virus/Trojaner geflaggt werde. Die DLL wird dann in Quarantäne geschoben. Dürfte ein falscher Alarm sein.

Was ist die SsUCommon.dll?

Die SsUCommon.dll ist eine DLL-Datei von PFU Limited (heute Teil von Ricoh), die zum ScanSnap Online-Update bzw. zur Update-Komponente der Fujitsu/Ricoh ScanSnap Scanner-Software gehört. Die Datei wird typischerweise im Installationspfad:

C:\Program Files (x86)\PFU\ScanSnap\Update\

abgelegt und enthält gemeinsame Funktionen ("Common DLL") für den automatischen Update-Mechanismus der ScanSnap-Software. Dazugehörige Dateien sind z. B. SsUWatcher.exe (der Update-Watcher, der im Hintergrund läuft) und andere SsU*-Dateien. Es gab in der Vergangenheit immer wieder Alarme, dass die Datei Malware enthalte.

Eine Lesermeldung über einen Fund

Blog-Leser Sebastian A. hat mich heute morgen per E-Mail kontaktiert (danke) und schrieb, dass es Probleme gäbe und vielleicht ein Thema für die Leserschaft sei. Beim Leser im Haus gibt es Probleme mit dem Dokumentenscanner von Ricoh (Sp-1120n). Seit heute (27. Mai 2026) wird die Datei SsUCommon.dll vom OnlineUpdater in TrendMicro als "Trojan.Win32.ZYX.USBLEQ26" gekennzeichnet und in Quarantäne verschoben.  Der Speicherort der Datei ist:

C:\Program Files (x86)\SP Series Online Update\SsUCommon.dll

Der Leser schreibt, dass man eigentlich nie ein Problem damit hatte. Im Internet findet er dazu keine Einträge. Bei Virustotal wird es von 17/71 Scannern erkannt, wobei da TrendMicro nicht dabei ist.

VirusTotal Rico Malware

Der Leser glaubt, dass es doch einige Blog-Leser betreffen könnte, da das ein Produkt für viele Büros ist, was noch im Einsatz ist. Jemand aus der Leserschaft von diesem Thema betroffen? Gibt es weitere Erkenntnisse oder Entwarnung?

Dieser Beitrag wurde unter Problem, Problemlösung, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

7 Kommentare zu Ricoh SsUCommon.dll wird als Virus/Trojaner geflaggt (27.5.2026)

  1. Luzifer sagt:
    27. Mai 2026 um 13:23 Uhr

    also bei so vielen positives auf Virus Total, würde ich jetzt nicht von false positives ausgehen. jm2c
    Wäre jetzt auch nicht ungewöhnlich das ein Updatemechanismus kompromittiert worden wäre.

    Bei 1 bis 2 ok, aber bei 17? Und dann auch nicht mit behavior oder pua & Co. Wäre mir persönlich zu heiß.

    Antworten
  2. Anonym sagt:
    27. Mai 2026 um 15:50 Uhr

    Steht auf Virustotal unter Details wann die Datei das erste Mal gescannt wurde?

    Antworten
  3. Olaf sagt:
    27. Mai 2026 um 16:13 Uhr

    Ich war mal so frei und habe via Bild (Screenshot) -> Text OCR den MD5 Hash kopiert und folgenden Link VirusTotal hergestellt:
    https://www.virustotal.com/gui/file/c8b3f8b965835e36b13125eaeef925b026119327776e53c80044943d1fb832d4

    Antworten
  4. Singlethreaded sagt:
    27. Mai 2026 um 22:44 Uhr

    TrendMicro wurde bei Virustotal wohl aktualisiert und meldet für die Datei nun auch einen Fund. Damit sind es aktuell 19 Erkennungen. Mal sehen wie sich die Sache entwickelt.

    Antworten
    • Sebastian sagt:
      28. Mai 2026 um 07:50 Uhr

      Ich habe bei Ricoh interessehalber nun auch mal ein Ticket eröffnet… Kurioser Fall

      Bei einem PC waren im appwiz.cpl folgende Daten
      SP Series Online Update
      PFU Limited
      Installation 23.07.2024
      79,2MB
      Version 1.2.39.0

      Bis jetzt sind aktuell 2 Rechner von der Meldung betroffen.
      Leider können wir aktuell nicht nachvollziehen ob die Software von der mitgelieferten CD damals installiert wurde oder mit dem damals aktuellsten Paket der Webseite

      Antworten
  5. Sebastian sagt:
    28. Mai 2026 um 11:55 Uhr

    Support hat sich zurück gemeldet
    ######
    Sehr geehrter…,
    vielen Dank, dass Sie den Service Desk von PFUE kontaktiert haben.
    Was für einen Scanner haben Sie, Seriennummer bitte.
    Typische Funktionen von SsUCommon.dll:
    Kommunikation zwischen Scanner-Software-Diensten und der Benutzeroberfläche
    Verwaltung von Scannerprofilen und -einstellungen
    Unterstützung bei der Bildverarbeitung
    Update- und Serviceroutinen:
    Haben Sie unsere Software PaperStream Capture im Einsatz?
    Da diese Datein direkt von PFU (
    (c) PFU Limited 2014-2024) ist, ist es kein Virus,
    Sie könnten die Datei als Ausname in Ihrem Antivirus Program festlegen.
    Geben Sie bitte kurz Bescheid ob dies Ihnen geholfen hat.

    Mit freundlichen Grüßen,
    Rainer
    PFU Support team

    **
    also waren jetzt nicht überrascht, dass wohl die Meldung kam …

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.